Уязвимость Broken authentication на примере bWAPP

Broken authentication уязвимость bWAPP

Одна из распространенных уязвимостей в веб-приложениях — Broken authentication (нарушение аутентификации и управления сеансами), которая позволяет злоумышленникам обойти аутентификацию и получить несанкционированный доступ к учетным записям пользователей или функциям администрирования. Далее рассмотрим эту уязвимость на примере bWAPP.

Еще по теме: Брутфорс сайта на примере bWAPP

Уязвимость Broken authentication на примере bWAPP

Broken Authentication может быть использована для доступа к ресурсам приложения в обход системы разграничения доступа. Уязвимость может возникнуть из-за различных факторов, включая слабые пароли или перехват сеанса.

Давайте рассмотрим Broken authentication на примере намеренно уязвимого веб-приложения bWAPP (см. Как установить BWAPP на Windows).

Шаг 1: Перейдите к уязвимости Broken Auth- Insecure Login Forms в bWAPP, а затем нажмите Hack.

Переход к уязвимости Broken Auth - Insecure Login Forms bWAPP

Шаг 2: Кликните правой кнопкой мыши на уязвимой странице и выберите View Page Source.

Просмотр исходного кода страницы bWAPP

Шаг 3: Изучите исходный код страницы, чтобы найти какую-нибудь важную информацию. В данном случае вы обнаружите имя пользователя tonystark и пароль I am Iron Man.

Обнаружение имени пользователя и пароля

Шаг 4: Используйте найденные учетные данные для входа в учетную запись. После этого на экране появится сообщение об успешном авторизации.

Использование обнаруженных учетных данных для входа в учетную запись

Broken authentication могут привести к различным уязвимостям безопасности в веб-приложениях. Злоумышленники могут использовать эти уязвимости для получения несанкционированного доступа к важным учетным записям и данным пользователей.

Защита основана на надлежащей настройке и упрочнении механизмов аутентификации в веб-приложении.

ПОЛЕЗНЫЕ ССЫЛКИ:

ВКонтакте
OK
Telegram
WhatsApp
Viber

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *